Sun Identity Manager 8.1 リソースリファレンス

第 6 章 Active Directory

Windows 2000 / Active Directory リソースアダプタは、com.waveset.adapter.ADSIResourceAdapter クラスで定義されます。

アダプタの詳細

リソースを設定する際の注意事項

ここでは、Identity Manager で使用する次の Active Directory リソースの設定手順を説明します。

Sun Identity Manager Gateway の場所

「LDAP ホスト名」リソース属性が設定されていない場合、ゲートウェイはディレクトリに対してサーバーレスバインドを実行します。サーバーレスバインドが機能するためには、ドメイン内にあって、管理対象のドメインまたはディレクトリを「認識している」システム上に、ゲートウェイをインストールしてください。ゲートウェイが管理するすべての Windows ドメインは、同じフォレストに所属している必要があります。フォレスト境界を越えるドメインの管理はサポートされていません。複数のフォレストがある場合は、各フォレストに少なくとも 1 つのゲートウェイをインストールしてください。

「LDAP ホスト名」リソース属性は、ゲートウェイに特定の DNS ホスト名または IP アドレスとバインドするように指示します。これはサーバーレスバインドとは正反対です。ただし、LDAP ホスト名では、必ずしも特定のドメインコントローラを指定する必要はありません。AD ドメインの DNS 名を使用できます。ゲートウェイシステムの DNS サーバーが、その DNS 名に対して複数の IP アドレスを返すように設定されている場合、そのうちの 1 つがディレクトリバインドに使用されます。これによって単一のドメインコントローラに依存する必要がなくなります。

パススルー認証や前アクションと後アクションを含む一部の操作では、ゲートウェイシステムがドメインのメンバーであることが求められます。

Sun Identity Manager Gateway のサービスアカウント

デフォルトでは、ゲートウェイサービスはローカルシステムアカウントとして実行されます。これは、「サービス」MMC スナップインで設定できます。

Exchange Server 2007 サポートが有効になっている Active Directory アダプタでゲートウェイが使用されている場合、ゲートウェイの実行に使用されるアカウントには特別な権限が必要です。

そのアカウントは、Exchange Server 2007 がインストールされているドメインにあるドメインアカウントである必要があります。使用されるアカウントは、標準 Exchange Server 2007 グループ Exchange Recipient Administrators のメンバーである必要もあります。このアカウントは、ゲートウェイによるすべての Exchange Server 2007 固有のアクションを実行します。リソースで指定された管理アカウントは使用されません。

許可されたゲートウェイアカウントでのこの制限は、Exchange Server 2007 API の制限に起因します。

これを正しく設定しないと、「PowerShell exception: Access to the address list service on all Exchange 2007 servers has been denied.」などの PowerShell エラーメッセージが表示されたあとに、スタックトレースが表示されます。

ゲートウェイをローカルシステム以外のアカウントとして実行する場合は、ゲートウェイサービスアカウントに「Act As Operating System」と「走査チェックのバイパス」のユーザー権限が必要です。ゲートウェイは、パススルー認証や、特定の状況でのパスワードの変更およびリセットに、これらの権限を使用します。

AD の管理の大部分は、リソース内で指定された管理アカウントを使用して行います。ただし、一部の操作はゲートウェイサービスアカウントで実行します。つまり、ゲートウェイサービスアカウントには、これらの操作を実行するための適切なアクセス権が必要です。現在、これに該当する操作は次のとおりです。

ホームディレクトリの作成
実行中のアクション (前アクションと後アクションを含む)

Active Directory アダプタ 「認証のタイムアウト」リソース属性 (パススルー認証のみの場合) を使用すると、ゲートウェイ側で問題が発生してもアダプタが滞らずにすみます。

前アクションおよび後アクションのスクリプトを実行するときに、ゲートウェイに「プロセスレベルトークンの置き換え」の権限が必要な場合があります。この権限は、ゲートウェイが別のユーザー (リソース管理ユーザーなど) としてスクリプトのサブプロセスを実行しようとする場合に必要です。この場合、ゲートウェイプロセスには、そのサブプロセスに関連付けられたデフォルトのトークンを置き換える権限が必要です。

この権限がない場合は、サブプロセスの作成中に次のエラーが返されることがあります。

"Error creating process: A required privilege is not held by the client"

「プロセスレベルトークンの置き換え」権限は、デフォルトのドメインコントローラのグループポリシーオブジェクトと、ワークステーションおよびサーバーのローカルセキュリティーポリシーで定義されます。この権限をシステムに設定するには、「管理ツール」フォルダの「ローカルセキュリティーポリシー」アプリケーションを開き、「ローカルポリシー」>「ユーザー権利の割り当て」>「プロセスレベルトークンの置き換え」に移動します。

不在メッセージ

outOfOfficeEnabled および outofOfficeMessage のアカウント属性を使用すると、不在時の自動返信機能を有効にして、不在メッセージを設定できます。これらは Exchange 2000 または 2003 アカウントで使用できます。これらの属性が設定されるのはアカウントの更新時のみで、アカウントの作成時には設定されません。

このアダプタでは、ゲートウェイマシン上に Messaging Application Programming Interface (MAPI) をインストールする必要があります。MAPI サブシステムをインストールするには、少なくとも 2 とおりの方法があります。もっとも単純な方法は、ゲートウェイマシン上に Microsoft Outlook クライアントをインストールすることです。この場合、これ以外の設定は必要ありません。

Messaging Application Programming Interface (MAPI) もう 1 つの方法は、Exchange Server CD にある Exchange System Management Tools をインストールすることです。この管理ツールは、通常の Exchange Server のコンポーネントとしてインストールされます。ただし、このインストールによって MAPI サブシステムのファイルはインストールされますが、これで設定が完了するわけではありません。

mapisvc.inf ファイル (通常は c:\winnt\system32 にある) には使用可能な MAPI サービスが格納されていますが、このファイルを更新して Exchange メッセージサービスのエントリを追加する必要があります。msems.inf ファイル (gateway zip ファイルに格納されている) に格納されているエントリは、Exchange メッセージサーバーを設定するために、mapisvc.inf ファイルにマージします。msems.inf ファイルは、メモ帳などのテキストエディタを使用して、手動で mapisvc.inf ファイルにマージできます。また、Microsoft Platform SDK には MergeIni.exe という名前のツールも用意されています。これは Microsoft SDK\Bin ディレクトリの Windows Core SDK にあります。

MergeIni を実行するには、次のコマンドを使用します。

MergeIni msems.inf -m

Out of Office 属性は、msExchHideFromAddressLists 属性が有効になっている場合は取得できません。msExchHideFromAddressLists が true になっているときに、ユーザーフォームに Out of Office 属性を表示しようとしても、値は定義されません。サンプルの Active Directory ユーザーフォームには、msExchHideFromAddressLists が有効になっているときは Identity Manager に Out of Office 属性を表示させないロジックが組み込まれています。

Exchange Server 2007 では、ユーザーに対する Out Of Office メッセージの設定はサポートされていません。メッセージはユーザーエントリの一部として格納されなくなり、ユーザーのメールボックスの一部を形成します。Out of Office 返信を管理するには、エンドユーザーが Outlook または Outlook Web Access を使用することをお勧めします。

Exchange Server 2007 の要件

Exchange Server 2007 では、Exchange Management Shell を使用した API のプロビジョニングのみがサポートされています。このシェルでは、ユーザーとサーバーを管理およびプロビジョニングするコマンド行インタフェースが提供されます。このシェルは Microsoft Windows PowerShell 上でビルドされます。

ゲートウェイは、Microsoft Windows 32 ビット版オペレーティングシステムで実行する必要があります。さらに、ゲートウェイマシン上に次のアイテムをインストールする必要があります。

これらの要件については、次の節で詳細に説明します。

Microsoft Exchange Server 2007「管理ツール」、32 ビット

Exchange 管理シェルは、Exchange 用の管理ツールの一部です。Microsoft では、本稼働環境で 32 ビット版の Exchange Server 2007 を実行することはサポートされていません。管理ツールには、「Exchange Server 2007 システム要件」に記述したような例外があります。

ゲートウェイマシンには、32 ビット版の管理ツールのみをインストールします。64 ビット版のオペレーティングシステム上に 32 ビット版のツールをインストール、または両方の版のツールをインストールすると、予測不能な動作が発生する可能性があります。

32 ビット版の管理ツールは、次の Microsoft Web サイトからダウンロードできます。

http://go.microsoft.com/fwlink/?LinkID=82335

ダウンロードしてインストールするツールのバージョンは、残りの Exchange 環境にインストールされている Exchange Server 2007 バージョンと一致するようにしてください。

管理ツールのインストールを開始する前に、Microsoft Windows PowerShell 1.0 および Microsoft .NET 2.0 Framework がインストールされていることを確認してください。

インストールされている必要のあるパッケージは、次の 2 つです。

Microsoft Windows PowerShell 1.0
Microsoft .NET 2.0 Framework

Microsoft Windows PowerShell 1.0

Exchange 管理ツールは、Microsoft PowerShell の拡張 (またはスナップイン) として実装されます。現在は、PowerShell version 1.0 のみがサポートされ、サーバーにはこれをインストールする必要があります。

http://go.microsoft.com/fwlink/?LinkID=75790&clcid=0x09

PowerShell 環境では、メッセージのログがイベントビューアに記録されます。標準インストールされた PowerShell では、「PowerShell」と「Windows PowerShell」の 2 つのイベントログが作成されます。PowerShell イベントログは、ゲートウェイが PowerShell 実行時環境を作成するときに使用されます。書き込み操作がイベントログへの書き込みに失敗すると、PowerShell 環境は起動されず、ゲートウェイの PowerShell 関連のアクションは失敗します。この問題を防ぐには、イベントログを定期的に監視してクリーンアップするか、メッセージを上書きするように設定します。

Microsoft .NET 2.0

PowerShell を使用するには、Microsoft .NET 2.0 Framework をインストールする必要があります。この Framework はデフォルトでイントールされません。次の場所にある Microsoft Download Center からインストールできます。

http://www.microsoft.com/downloads/details.aspx?familyid=0856EACB-4362-
4B0D-8EDD-AAB15C5E04F5

Identity Manager のインストールに関する注意事項

このリソースでは、追加のインストール手順は必要ありません。

使用上の注意

ここでは、Active Directory リソースアダプタの使用に関連する依存関係と制限について示します。説明する内容は次のとおりです。

パスワード履歴の確認

エンドユーザーが自分のパスワードを変更するときに Active Directory アカウントのパスワード履歴を確認するには、AD パスワードを入力する必要があります。AD リソース上でこの機能を有効にするには、「変更時にユーザーがパスワードを入力」リソース属性を 1 に設定し、WS_USER_PASSWORD 属性のタイプを encrypted にしてアカウント属性に追加します。WS_USER_PASSWORD は、Identity Manager ユーザー属性およびリソースユーザー属性として追加する必要があります。

waveset.properties ファイル内の sources.ResourceName.hosts プロパティーを使用して、Active Sync を使用してリソースの同期を行うクラスタ内のホストを選択できます。ResourceName は、リソースオブジェクトの名前に置き換える必要があります。

Microsoft Exchange Server 2000 および 2003 のサポート

Microsoft Exchange Server 2000 および 2003 をサポートするには、次のアカウント属性を有効にします。

homeMDB
homeMTA
mailNickname
msExchHomeServerName

次のアカウント属性はデフォルトでスキーママップに表示され、Exchange アカウントの管理にも使用されます。

garbageCollPeriod
mDBOverHardQuotaLimit
mDBOverQuotaLimit
mDBStorageQuota
mDBUseDefaults

Exchange Server の属性を管理するのに Active Directory リソースを使用していない場合、Identity Manager で Active Directory アカウントを正常にプロビジョニングするには、これらのアダプタのスキーママップからこれらの属性を削除する必要があります。

Exchange Server 2000/2003 と 2007 がインストールされた混合 Microsoft Exchange 環境は管理可能です。この Active Directory リソースが混合環境の管理に使用されず、Exchange Server 2007 のみが存在する場合は、前述の指示に従って、Exchange 属性をスキーマから削除します。

Active Directory アダプタは、プリンタ、コンピュータ、またはその他の Active Directory オブジェクトをサポートするように変更できます。次の例は、プリンタオブジェクトをサポートするように、該当する Java クラス内の XML コードを変更する方法を示しています。

<ObjectType name=’Printer’ icon=’group’>
    <ObjectClasses operator=’AND’>
       <ObjectClass name=’printQueue’/>
    </ObjectClasses>
    <ObjectFeatures>
       <ObjectFeature name=’create’/>
       <ObjectFeature name=’update’/>
       <ObjectFeature name=’delete’/>
    </ObjectFeatures>
    <ObjectAttributes idAttr=’distinguishedName’ displayNameAttr=’cn’ 
        descriptionAttr=’description’>
       <ObjectAttribute name=’cn’ type=’string’/>
       <ObjectAttribute name=’description’ type=’string’/>
       <ObjectAttribute name=’managedby’ type=’string’/>
       <ObjectAttribute name=’distinguishedName’ type=’string’/>
    </ObjectAttributes>
 </ObjectType>

プリンタオブジェクトをサポートするためには、少なくとも 1 つの新しいフォームを作成します。

Windows Active Directory リソースによって Exchange 2000 の連絡先を管理できるようにするには、オブジェクトクラスを contact に変更し、password、accountId、および expirePassword リソース属性を削除します。

Exchange 2007 のサポート

Microsoft Exchange Server 2007 は、Windows Server 2003 R2 または Windows Server 2003 Service Pack 1 以上でのみサポートされます。

Active Directory アダプタでは、デフォルトで Exchange 2007 電子メールアカウントは管理されません。これらのアカウントのサポートを有効にするには、次の操作を実行します。

Exchange 2007 Support リソースパラメータを選択します。
Exchange Recipient Administrators グループのメンバーであり、Windows ドメインにログインされているユーザーとして、ゲートウェイが動作していることを確認します。
次のアカウント属性をスキーママップに追加します。これらの属性の「必須」チェックボックスは選択しないでください。

属性名	説明
RecipientType (文字列)	リソースに対するユーザータイプ。Exchange 2007 対応のリソースでのアカウントの作成中に必要となります。指定可能な値は次のとおりです。 - User (Active Directory 専用ユーザー) - UserMailbox (ローカルメール記憶領域を持つ Active Directory および Exchange ユーザー) - MailUser (ローカルメール記憶領域を持たない Active Directory および Exchange ユーザー) Active Directory 専用ユーザー (RecipientType = User) から Exchange ユーザータイプ (RecipientType UserMailbox または MailUser) への変更時を除いて、この属性は読み取り専用です。RecipientType を User に戻したり、MailUser を UserMailbox (およびその逆) に変更したりすることはできません。
Database (文字列)	ユーザーのメールボックスを格納するデータベース。この値は、Server\StorageGroup\MailboxDatabase の形式で指定する必要があります。RecipientType が UserMailbox に設定されている場合は、この属性は値を持つ必要があります。RecipientType のほかの値がある場合は、この属性は無視されます。
ExternalEmailAddress (文字列)	Exchange 組織外部の電子メールアドレス。この属性は、RecipientType MailUser に対して Exchange 組織で一意の値に設定する必要があります。RecipientType のほかの値がある場合は、この属性は無視されます。

属性名

説明

RecipientType (文字列)

リソースに対するユーザータイプ。Exchange 2007 対応のリソースでのアカウントの作成中に必要となります。指定可能な値は次のとおりです。

- User (Active Directory 専用ユーザー)

- UserMailbox (ローカルメール記憶領域を持つ Active Directory および Exchange ユーザー)

- MailUser (ローカルメール記憶領域を持たない Active Directory および Exchange ユーザー)

Active Directory 専用ユーザー (RecipientType = User) から Exchange ユーザータイプ (RecipientType UserMailbox または MailUser) への変更時を除いて、この属性は読み取り専用です。RecipientType を User に戻したり、MailUser を UserMailbox (およびその逆) に変更したりすることはできません。

Database (文字列)

ユーザーのメールボックスを格納するデータベース。この値は、Server\StorageGroup\MailboxDatabase の形式で指定する必要があります。RecipientType が UserMailbox に設定されている場合は、この属性は値を持つ必要があります。RecipientType のほかの値がある場合は、この属性は無視されます。

ExternalEmailAddress (文字列)

Exchange 組織外部の電子メールアドレス。この属性は、RecipientType MailUser に対して Exchange 組織で一意の値に設定する必要があります。RecipientType のほかの値がある場合は、この属性は無視されます。

Active Sync の設定

Active Sync は常に同じドメインコントローラに接続する必要があるので、「子ドメインの検索」リソースパラメータが選択されていない場合は、特定のドメインコントローラのホスト名を指定するように LDAP ホスト名を設定します。「子ドメインの検索」オプションが選択されている場合は、グローバルカタログホスト名フィールドに、特定のグローバルカタログサーバーを設定します。

新しいドメインコントローラに切り替えたときに発生する繰り返しイベントの数を制限する方法については、第 52 章Active Directory Synchronization Failoverを参照してください。

パススルー認証用のドメインの指定

デフォルト設定では、ユーザー ID とパスワードのみを送信することによって、パススルー認証が実現されます。これらの 2 つの属性は、w2k_user および w2k_password として、リソースオブジェクトの XML の AuthnProperties 要素で設定されます。ドメイン指定がない場合は、ゲートウェイで既知の全ドメインが検索され、ユーザーを含むドメイン内のユーザー認証が試みられます。

信頼されたマルチドメイン環境では、次の 2 つの状況が考えられます。

すべてのドメインに同期されたユーザー/パスワードの組み合わせが含まれる。
ユーザー/パスワードの組み合わせがドメインに依存する。

ユーザー/パスワードの組み合わせが同期される場合は、Active Directory リソースが共通リソースとなるように設定します。共通リソースの設定については、『Business Administrator's Guide』を参照してください。

ユーザー/パスワードの組み合わせがドメインに依存する場合、およびユーザーがドメイン情報を知るように要求される場合は、ログイン画面でドメイン情報を入力することをユーザーに許可できます。このオプションは、共通リソースを含む組み合わせで使用できます。

ログインページでドメインの入力をユーザーに許可するには、リソースオブジェクトの XML で <AuthnProperties> 要素に次のプロパティーを追加します。

<AuthnProperty name=’w2k_domain’ displayName=’Domain:’ formFieldType=’text’ 
dataSource=’user’ doNotMap=’true’/>

グローバルカタログにはフォレスト間の情報は含まれていないため、信頼される複数のドメインと Active Directory フォレストを含む環境では、これらの設定のいずれかを使用した認証に失敗する可能性があります。ドメイン数がロックアウトのしきい値よりも大きい場合は、ユーザーが不正なパスワードを入力すると、ユーザーのドメインでアカウントがロックアウトされる可能性もあります。

複数のゲートウェイ (フォレストごとに 1 つずつ) が配備されている場合にのみ、フォレスト間のユーザー管理が可能です。この場合、ユーザーがドメインを指定する必要がなく、アダプタごとに認証用に事前定義されたドメインを使用するようにアダプタを設定できます。これを実現するには、リソースオブジェクトの XML で <AuthnProperties> 要素に次の認証プロパティーを追加します。

<AuthnProperty name=’w2k_domain’ dataSource=’resource attribute’ 
value=’MyDomainName’/>

ユーザーを認証するドメインで MyDomainName を置き換えます。

ユーザーがドメインに存在し、パスワードが同期されない場合は、ドメインでログインに失敗します。

1 つの Login Module Group で、ドメイン情報用に複数のデータソースを使用することはできません。

ゲートウェイタイムアウト

Active Directory アダプタでは、RA_HANGTIMEOUT リソース属性を使用してタイムアウト値を秒単位で指定できます。この属性は、ゲートウェイに対する要求がタイムアウトしてハングしているとみなされるまでの時間を制御します。

次のように、この属性を Resource オブジェクトに手動で追加する必要があります。

<ResourceAttribute name=’Hang Timeout’ displayName=’com.waveset.adapter.RAMessages:
   RESATTR_HANGTIMEOUT’ type=’int’ description=’com.waveset.adapter.RAMessages:
   RESATTR_HANGTIMEOUT_HELP’ value=’NewValue’>
 </ResourceAttribute>

この属性のデフォルト値は 0 です。これは Identity Manager がハングした接続を確認しないことを表します。

セキュリティーに関する注意事項

ここでは、サポートされる接続と特権の要件について説明します。

サポートされる接続

「暗号化タイプ」リソースパラメータでは、Identity Manager ゲートウェイが Active Directory サーバーとの通信に使用する暗号化タイプを入力できます。このフィールドの有効な値は、None (デフォルト値)、Kerberos、および SSL です。

SSL を使用するには、ドメイン内に認証局が設定されている必要があります。また、Active Directory へのアクセスに使用するユーザー名は UPN 形式 (例: DomainName\UserName) で指定する必要があります。

必要な管理特権

ここでは、必要な Active Directory のアクセス許可とパスワードのリセット権の要件について説明します。

Active Directory アクセス権

Active Directory リソース内で設定する管理アカウントには、Active Directory における適切なアクセス権が必要です。

Identity Manager の機能	Active Directory アクセス権
Active Directory ユーザーアカウントの作成	ユーザーオブジェクトの作成アカウントを有効な状態で作成するには、userAccountControl プロパティーの読み取り/書き込み権が必要です。パスワードの期限が切れた状態で作成するには、アカウント制限のプロパティーセット (userAccountControl プロパティーを含む) の読み取り/書き込みができるようにします。
Active Directory ユーザーアカウントの削除	ユーザーオブジェクトの削除
Active Directory ユーザーアカウントの更新	すべてのプロパティーの読み取りすべてのプロパティーの書き込み注意: プロパティーのサブセットのみが Identity Manager から管理されている場合は、これらのプロパティーのみに読み取りと書き込みのアクセスを許可できます。
AD ユーザーアカウントパスワードの変更/リセット AD ユーザーアカウントのロック解除 AD ユーザーアカウントの期限設定	ユーザーオブジェクトに関するアクセス許可: 内容の一覧表示すべてのプロパティーの読み取り読み取りアクセス権パスワードの変更パスワードのリセットユーザープロパティーに対するアクセス許可: lockoutTime の読み取り/書き込みアカウント制限の読み取り/書き込み accountExpires の読み取り lockoutTime プロパティーに対するアクセス許可を設定するには、Windows 2000 Server リソースキットにある cacls.exe プログラムを使用してください。

パスワードのリセット

リソースオブジェクトの作成、削除、更新を実行する権限は期待するとおりのものです。アカウントには対応するオブジェクトタイプに対する作成権と削除権が必要で、ユーザーには、更新する必要のあるプロパティーに対する適切な読み取り/書き込み権が必要になります。

パススルー認証

Active Directory (AD) のパススルー認証をサポートするには、次の権限が必要となります。

ゲートウェイをユーザーとして実行するように設定する場合、そのユーザーアカウントには「Act As Operating System」および「走査チェックのバイパス」のユーザー権限が必要です。デフォルトでは、ゲートウェイはローカルシステムアカウントとして実行され、このアカウントにはこれらの権限はすでに備わっています。また、「走査チェックのバイパス」ユーザー権限は、デフォルトですべてのユーザーに有効になっています。

注 –

ユーザー権限を更新する必要のある場合、更新されたセキュリティーポリシーが伝播されるまでに遅延が生じる可能性があります。ポリシーが伝達されたら、ゲートウェイを再起動します。

認証されるアカウントには、ゲートウェイシステム上で「ネットワーク経由でコンピュータへアクセス」のユーザー権限が必要です。

ゲートウェイでは、LogonUser 関数に LOGON32_LOGON_NETWORK ログオンタイプおよび LOGON32_PROVIDER_DEFAULT ログオンプロバイダを設定して、パススルー認証を実行します。LogonUser 関数は、Microsoft Platform Software Development Kit で提供されています。

削除済みオブジェクトへのアクセス

管理アカウントには、Active Directory の削除済みオブジェクトコンテナへのアクセス権が必要です。デフォルトでは、管理者とシステムアカウントのみが、このコンテナにアクセスできます。その他のユーザーにこのコンテナへのアクセス権を許可することもできます。削除済みオブジェクトコンテナへのアクセス許可については、Microsoft ナレッジベースの記事 892806 を参照してください。

プロビジョニングに関する注意事項

次の表に、このアダプタのプロビジョニング機能の概要を示します。

機能	サポート状況
アカウントの有効化/無効化	あり
アカウントの名前の変更	あり
パススルー認証	あり「認証のタイムアウト」リソース属性 (パススルー認証のみの場合) を使用すると、ゲートウェイ側で問題が発生しても Active Direcotry アダプタが滞らずにすみます。
前アクションと後アクション	はい。 Active Directory リソースは、前アクションと後アクションをサポートしています。このアクションは、ユーザーが要求を作成、更新、および削除するときに、Active Directory ゲートウェイシステム上でバッチスクリプトを使用してアクティビティーを実行します。詳細は、第 50 章リソースへのアクションの追加を参照してください。
データ読み込みメソッド	リソースから直接インポートリソースの調整 Active Sync

アカウント属性

属性の構文 (または型) は、通常、属性がサポートされるかどうかを決定します。一般に、Identity Manager は boolean 型、文字列型、および整数型の構文をサポートします。バイナリ文字列と、それに類似した構文はサポートされていません。

属性構文のサポート

ここでは、サポートされるアカウント構文とサポートされないアカウント構文について説明します。

サポートされる構文

次の表に、Identity Manager でサポートされている Active Directory 構文を示します。

AD 構文	Identity Manager の構文	構文 ID	OM ID	ADS タイプ
Boolean	Boolean	2.5.5.8	1	`ADSTYPE_BOOLEAN`
Enumeration	String	2.5.5.9	10	`ADSTYPE_INTEGER`
Integer	Int	2.5.5.9	2	`ADSTYPE_INTEGER`
DN String	String	2.5.5.1	127	`ADSTYPE_DN_STRING`
Presentation Address	String	2.5.5.13	127	`ADSTYPE_CASE_IGNORE_STRING`
IA5 String	String	2.5.5.5	22	`ADSTYPE_PRINTABLE_STRING`
Printable String	String	2.5.5.5	19	`ADSTYPE_PRINTABLE_STRING`
Numeric String	String	2.5.5.6	18	`ADSTYPE_NUMERIC_STRING`
OID String	String	2.5.5.2	6	`ADSTYPE_CASE_IGNORE_STRING`
Case Ignore String (teletex)	String	2.5.5.4	20 人	`ADSTYPE_CASE_IGNORE_STRING`
Unicode String	String	2.5.5.12	64	`ADSTYPE_OCTET_STRING`
Interval	String	2.5.5.16	65	`ADSTYPE_LARGE_INTEGER`
LargeInteger	String	2.5.5.16	65	`ADSTYPE_LARGE_INTEGER`

サポートされない構文

次の表に、Identity Manager でサポートされない Active Directory 構文を示します。

構文	構文 ID	OM ID	ADS タイプ
DN with Unicode string	2.5.5.14	127	`ADSTYPE_DN_WITH_STRING`
DN with binary	2.5.5.7	127	`ADSTYPE_DN_WITH_BINARY`
OR-Name	2.5.5.7	127	`ADSTYPE_DN_WITH_BINARY`
Replica Link	2.5.5.10	127	`ADSTYPE_OCTET_STRING`
NT Security Descriptor	2.5.5.15	66	`ADSTYPE_NT_SECURITY_DESCRIPTOR`
Octet String	2.5.5.10	4	`ADSTYPE_OCTET_STRING`
SID String	2.5.5.17	4	`ADSTYPE_OCTET_STRING`
UTC Time String	2.5.5.11	23	`ADSTYPE_UTC_TIME`
Object(Access-Point)	2.5.5.14	127	n/a

Identity Manager は、Replica Link 構文を使用する jpegPhoto および thumbnailPhoto アカウント属性をサポートしています。これ以外にもサポートされている Replica Link 属性があるかもしれませんが、それらはテストが完了していません。

Microsoft Exchange 2007 属性構文のサポート

このセクションでは、Microsoft Exchange 2007 専用のサポート済みおよび未サポートのアカウント構文に関する情報を提供します。

サポートされる構文

Identity Manager は、次の PowerShell 構文をサポートします。

構文	説明
String	Unicode 文字列。
Integer	Exchange 2007 では文字列として表現されます。
Nullable	値を含む必要のない属性。別のタイプなしで使用される場合、文字列が示されます。
Boolean	「True」または「False」の標準 boolean 値
Unlimited	特別に許可された値として文字列「Unlimited」を含む文字列として表現される整数。
ByteQuantifiedSize	サイズ修飾子あり、またはサイズ修飾子なしの文字列として表現される整数のサイズ。許可される修飾子は、なし、B (デフォルト)、KB、MB、または GB です。

Unlimited と ByteQuantifiedSize の組み合わせはサポートされています。

サポートされない構文

次の表に、Identity Manager でサポートされない PowerShell 構文を示します。

構文	説明
SwitchParameter	Boolean 値の特殊なコマンド行形式。
暗号化されています	パスワード属性

アカウント属性のサポート

ここでは、Identity Manager によってサポートされる Active Directory アカウント属性とサポートされない Active Directory アカウント属性を説明します。

サポートされるアカウント属性

次の表に、Identity Manager でサポートされるアカウント属性を示します。これ以外の属性 (Exchange の属性など) もサポートされる可能性があります。

スキーマ名	属性タイプ	説明
accountExpires	String	ユーザーのアカウントが期限切れになる日付。
AccountLocked	Boolean	アカウントがロックアウトされているかどうかを示します。true に設定することはできません (true に設定できるのは Windows システムのみ)。
accountNameHistory	String	アカウントがアクティブであった時間の長さ。読み取り専用。
aCSPolicyName	String	このユーザーに適用される ACS ポリシーの名前の文字列。
adminCount	String	指定されたオブジェクトが、管理グループの 1 つのメンバーであったために、その ACL がよりセキュリティーが高い値に (直接的または推移的に) 変更されたことを示します。システムによって設定されます。読み取り専用。
adminDescription	String	管理者の画面に表示される説明。
adminDisplayName	String	管理者画面に表示される名前。
altSecurityIdentities	String	認証に使用する、このユーザーに対する X.509 証明書または Kerberos ユーザーアカウントのマッピングを含みます。
assistant	String	ユーザーの管理補佐の識別名。
badPasswordTime	String	ユーザーが最後に不正なパスワードを使用してアカウントにログオンを試みた時刻。
badPwdCnt	String	読み取り専用。不正なパスワードによるログイン試行回数。この値は、問い合わせ先のドメインコントローラで失敗したログイン回数のみの場合があります。
businessCategory	String	組織で実施されているビジネスの種類を示します。
c	String	ユーザーの住所にある 2 文字の国番号。
cn	String	Common Name (共通名)。この属性は、DN 内の CN の値から設定されます。読み取り専用。
co	String	Text-Country (国名)
company	String	ユーザーの会社名。
codePage	Int	ユーザーの選択言語のコードページを指定します。
countryCode	String	ユーザーの選択言語の国番号を指定します。
Database	String	この属性は、RecipientType の値が UserMailbox である場合に必要となります。デフォルトでは表示されません。Exchange 2007 アカウントを管理するには、これを追加する必要があります。完全データベースパス (Server\Storage\Database の形式)。
defaultClassStore	String	指定されたユーザーのデフォルトの Class Store。
department	String	ユーザーが勤務する部署の名前を格納します。
description	String	オブジェクトの表示説明を格納します。この値はシステムによって単一値として処理されます。
desktopProfile	String	ユーザーまたはユーザーグループのデスクトッププロファイルの場所。
destinationIndicator	String	Active Directory では使用されません。
displayName	String	特定のユーザーのアドレス帳に表示される名前。通常は、名、ミドルネームのイニシャル、姓の組み合わせです。
displayNamePrintable	String	displayName のプリント可能なバージョン。
distinguishedName	String	直接設定することはできません。読み取り専用。DN テンプレートまたは accountId アカウント属性を使用して、作成時に DN を設定します。
division	String	ユーザーの部門。
dynamicLDAPServer	String	このアカウントの動的プロパティーを渡すサーバーの DNS 名。
employeeID	String	従業員の ID。
extensionName	String	ディレクトリオブジェクトの UI を拡張するために使用されるプロパティーページの名前。
ExternalEmailAddress	String	この属性は、RecipientType の値が MailUser である場合に必要となります。デフォルトでは表示されません。Exchange 2007 アカウントを管理するには、これを追加する必要があります。 Exchange サーバーで一意の電子メールアドレス (User@Domain の形式)。
facsimileTelephoneNumber	String	ユーザーの勤務先の FAX 番号。
flags	Int	ビット情報を格納するためにオブジェクトによって使用されます。
garbageCollPeriod	Int	この属性は、CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,... オブジェクトに配置されています。DS ガベージコレクションの実行間隔 (時間単位) を表します。
generationQualifier	String	個人の世代を示します (たとえば、Jr. や II)。
givenName	String	ユーザーの名を格納します。
groupPriority	String	使用しません
groups	String	Windows のセキュリティーグループと配布グループ。
groupsToIgnore	String	使用しません
homeDirectory	String	ユーザーのホームディレクトリ。homeDrive が設定され、ドライブ文字が指定されている場合、homeDirectory は UNC パスにするようにしてください。このパスは \\server\share\directory という形式のネットワーク UNC パスにします。この値は NULL 文字列にすることもできます。ユーザーのホームディレクトリは次の場合に作成されます。値が、共有名ではない UNC パスである (share ディレクトリ上のディレクトリを指している) すべての親ディレクトリが存在「ホームディレクトリの作成」リソース属性が 1 に設定されているゲートウェイサービスの実行ユーザーには、ディレクトリの作成権が必要ユーザーには、作成したディレクトリの完全な制御権が付与されます。
homeDrive	String	ホームディレクトリのマップ先になるコロンを含むドライブ文字 (「Z:」など)。homeDirectory が UNC パスの場合のみ指定するようにしてください。
homeMDB	String	このメールボックスのメッセージデータベース (MDB) の識別名。次のような形式になります。CN=Mailbox Store (SERVERNAME),CN=First Storage Group, CN=InformationStore, CN=SERVERNAME,CN=Servers, CN=First Administrative Group, CN=Administrative Groups, CN=EXCHANGE ORG, CN=Microsoft Exchange, CN=Services, CN=Configuration,DC=DOMAIN, DC=YOURCOMPANY,DC=com'
homeMTA	String	このオブジェクトをサービスするメッセージ転送エージェント (MTA) を指します。次のような形式になります。CN=Microsoft MTA, CN=SERVERNAME, CN=Servers, CN=First Administrative Group, CN=Administrative Groups, CN=EXCHANGE ORG, CN=Microsoft Exchange, CN=Services, CN=Configuration,DC=DOMAIN, DC=YOURCOMPANY,DC=com
homePhone	String	ユーザーの自宅のメイン電話番号。
homePostalAddress	String	ユーザーの自宅の住所。
info	String	ユーザーのコメント。NULL 文字列にすることもできます。
initials	String	ユーザーのフルネームの一部を表すイニシャルを格納します。
internationalISDNNumber	String	オブジェクトに関連付けられた国際 ISDN 番号を指定します。
ipPhone	String	電話の TCP/IP アドレス。テレフォニーで使用します。
jpegPhoto	Binary	ユーザーの画像。(Windows 2003 Server 以上が必要)
l	String	ユーザーの住所の地域 (町村など)。
lastLogon	String	ユーザーが最後に DC にログオンした時刻。
lastLogonTimestamp	String	ユーザーが最後にドメインにログインした時刻。この値が更新されるのは、前回この値が更新されてから 1 週間以上が経過している状態で、ユーザーがログインしたときだけです。
lastLogoff	String	ユーザーが最後にログオフした時刻。
legacyExchangeDN	String	これまで Exchange によって使用されていた識別名。
localeID	Int	この属性には、このアプリケーションによってサポートされるロケール ID の一覧が格納されます。ロケール ID は地理的な場所 (フランスなど) を表します。
lockoutTime	String	不正なログオンカウントがリセットされるまでの待機時間 (分)。
logonCount	Int	ユーザーがこのアカウントへのログオンを試みて成功した回数。このプロパティーは、ドメイン内でドメインコントローラ別に維持されます。
mail	String	1 つ以上の電子メールアドレス。
mailNickName	String	Exchange のニックネーム。
managedObjects	String	ユーザーによって管理されるオブジェクトの一覧を格納します。システムによって設定されます。読み取り専用。
manager	String	ユーザーのマネージャーのディレクトリ名。
maxStorage	String	ユーザーの使用できる最大ディスク容量。
mDBOverHardQuotaLimit	String	メールボックスの最大サイズ (K バイト)。これを超えるとメールを送受信できなくなります。
mDBOverQuotaLimit	String	メールボックスに割り当てられたオーバードラフト制限 (K バイト)。
mDBStorageQuota	String	メッセージデータベース割り当て (K バイト)。
mDBUseDefaults	String	メッセージを保存する際に、メールボックスごとの割り当て制限ではなく、デフォルトの割り当て制限を適用すべきかどうかを示します。
mhsORAddress	String	X.400 アドレス。
middleName	String	ユーザーのミドルネーム。
mobile	String	第一携帯電話番号。
msCOM-PartitionSetLink	String	COM+ パーティションを COM+ PartitionSet オブジェクトに関連付けるために使用するリンク。読み取り専用。
msCOM-UserLink	String	COM+ PartitionSet をユーザーオブジェクトに関連付けるために使用するリンク。読み取り専用。
msCOM-UserPartitionSetLink	String	ユーザーを COM+ PartitionSet に関連付けるために使用するリンク。読み取り専用。
msDS-AllowedToDelegateTo	String	サービスプリンシパル名 (SPN) のリストを格納します。この属性は、Constrained Delegation (制限付き委任) に使用できるサービスチケットを取得できるようサービスを設定するために使用されます。
ms-DS-Approx-Immed-Subordinates	Int	このユーザーの部下のおよその数。読み取り専用。
msDS-Cached-Membership-Time-Stamp	String	セキュリティーアカウントマネージャーによって、トークン評価時にグループ拡張のために使用されます。読み取り専用。
mS-DS-ConsistencyChildCount	Int	この属性は、子オブジェクトの数を比較することで、ディレクトリとその他のオブジェクト、データベース、またはアプリケーションとの間の整合性をチェックするために使用されます。
msExchHomeServerName	String	Exchange Server の名前。次のような形式になります。/o=EXCHANGEORG/ou=First Administrative Group/cn=Configuration/cn=Servers/cn=SERVERNAME
ms-DS-KeyVersionNumber	Int	このアカウントの現在のキーの Kerberos バージョン番号。これは動的に構築される属性です。読み取り専用。
ms-DS-Mastered-By	String	msDS-hasMasterNC にバックリンクします。読み取り専用。
ms-DS-Members-For-Az-Role-BL	String	メンバーアプリケーショングループまたはユーザーから、そこにリンクしている Az-Role オブジェクトへバックリンクします。読み取り専用。
ms-DS-NC-Repl-Cursors	String	過去および現在のレプリケーションパートナーと、それぞれによる更新状況のリスト。読み取り専用。
ms-DS-NC-Repl-Inbound-Neighbors	String	このパーティションのレプリケーションパートナー。このサーバーは、ここに含まれる他のサーバー (ソースとして機能) からレプリケーションデータを取得します。読み取り専用。
ms-DS-NC-Repl-Outbound-Neighbors	String	このパーティションのレプリケーションパートナー。このサーバーは、ここに含まれる他のサーバー (宛先として機能) にレプリケーションデータを送信します。このサーバーは、新しいデータが使用可能になると、これらの他のサーバーに通知します。読み取り専用。
ms-DS-Non-Members-BL	String	メンバーでないグループ/ユーザーから、そこにリンクしている Az グループへバックリンクします。読み取り専用。
ms-DS-Operations-For-Az-Role-BL	String	Az-Operation から、そこにリンクしている Az-Role オブジェクトへバックリンクします。読み取り専用。
ms-DS-Operations-For-Az-Task-BL	String	Az-Operation から、そこにリンクしている Az-Task オブジェクトへバックリンクします。読み取り専用。
ms-DS-Repl-Attribute-Meta-Data	String	レプリケートされた各属性のメタデータのリスト。読み取り専用。
ms-DS-Repl-Value-Meta-Data	String	属性の各値のメタデータのリスト。読み取り専用。
ms-DS-Tasks-For-Az-Role-BL	String	Az-Task から、そこにリンクしている Az-Role オブジェクトへバックリンクします。読み取り専用。
ms-DS-Tasks-For-Az-Task-BL	String	Az-Task から、そこにリンクしている Az-Task オブジェクトへバックリンクします。読み取り専用。
ms-DS-User-Account-Control-Computed	Int	期限切れのユーザーパスワードとロックアウトされたユーザーアカウントを求めるために使われる属性。
msExchMailboxSecurityDescriptor	String	この属性は、ユーザーの Exchange Mailbox 権限を決定します。詳細は、「ACL リストの管理」を参照してください。
ms-Exch-Owner-BL	String	所有者属性へのバックリンク。オブジェクトの所有者のリストを格納します。読み取り専用。
ms-IIS-FTP-Dir	String	ファイルサーバーの共有に関連するユーザーのホームディレクトリ。ms-IID-FTP-Root と組み合わせて使用することで、FTP ユーザーホームディレクトリを決定します。
ms-IIS-FTP-Root	String	ファイルサーバーの共有を決定する属性。ms-IID-FTP-Dir と組み合わせて使用することで、FTP ユーザーホームディレクトリを決定します。
name	String	ユーザーの相対識別名 (RDN)。直接設定することはできません。読み取り専用。DN テンプレートまたは accountId アカウント属性を使用して、作成時に RDN を設定します。「name」は予約された属性名なので、スキーママップの左側には使用しないでください。
networkAddress	String	ネットワークセグメントの TCP/IP アドレス。
nTSecurityDescriptor	String	スキーマオブジェクトの NT セキュリティー記述子。詳細は、「ACL リストの管理」を参照してください。
o	String	会社または組織の名前。
objectCategory	なし	このクラスまたは派生したクラスのオブジェクトのグループ化に使用するオブジェクトクラス名。システムによって設定されます。読み取り専用。
objectClass	なし	このクラスの派生元のクラスのリスト。この属性の値は、「オブジェクトクラス」リソース属性を使用して設定するようにしてください。読み取り専用。
objectVersion	Int	オブジェクトのバージョン番号。
operatorCount	Int	コンピュータ上のオペレータの数。
otherFacsimileTelephoneNumber	String	代替の FAX 番号のリスト。
otherHomePhone	String	代替の自宅電話番号のリスト。
otherIpPhone	String	電話用の代替の TCP/IP アドレスのリスト。テレフォニーで使用します。
otherLoginWorkstations	String	ここに指定した非 NT ワークステーションまたは LAN Manager ワークステーションからユーザーがログインできます。
otherMailbox	String	フォームにその他の追加メールアドレスを格納します (CCMAIL: JohnDoe など)。
otherMobile	String	追加の携帯電話番号
otherPager	String	追加のポケットベル番号。
otherTelephone	String	追加の電話番号。
ou	String	組織単位
outOfOfficeEnabled	Boolean	不在時の自動返信機能を有効にします
outOfOfficeMessage	String	不在メッセージのテキスト。
pager	String	ポケットベル番号
personalTitle	String	ユーザーの役職
PasswordNeverExpires	Boolean	ユーザーのパスワードが期限切れになるかどうかを示します。
physicalDeliveryOfficeName	String	配達物の送付先となるオフィス。
postalAddress	String	ユーザーの勤務先オフィスの所在地。
postalCode	String	郵便配達用の郵便番号。
postOfficeBox	String	このオブジェクトの私書箱番号。
preferredDeliveryMethod	String	受取人への X.500 優先送付方式。
preferredOU	String	デフォルトでユーザーのデスクトップ上に表示される組織単位。
primaryGroupID	Int	ユーザーがまだグループのメンバーでない場合、primaryGroupID は 2 段階の手順で設定する必要があります。まずユーザーをグループに追加して、次に primaryGroupId を設定します。
primaryInternationalISDNNumber	String	第一 ISDN 番号。
primaryTelexNumber	String	第一テレックス番号。
profilePath	String	ユーザーのプロファイルへのパスを指定します。この値には、NULL 文字列、ローカル絶対パス、または UNC パスを設定できます。
proxyAddresses	String	プロキシアドレスは、Microsoft Exchange Server の受信者オブジェクトが外国のメールシステムで認識されるためのアドレスです。プロキシアドレスは、カスタム受信者や配信リストなど、すべての受信者オブジェクトに必要です。
pwdLastSet	String	この属性は、ユーザーが最後にパスワードを変更した時刻を示します。この値は、1601 年 1 月 1 日 0 時 0 分 0 秒からの経過秒数を表す大きな整数として格納されます (FILETIME)。この値がゼロに設定され、ユーザーアカウントの「パスワードを無期限にする」プロパティーが false に設定されている場合、ユーザーは次のログオン時にパスワードを設定する必要があります。
RecipientType	String	すべての Exchange 2007 アカウントタイプで必要です。指定可能な値は、User、UserMailbox、または MailUser です。この属性はデフォルトでは表示されません。Exchange 2007 アカウントを管理するには、これを追加する必要があります。
revision	Int	セキュリティー記述子やその他の変更のバージョン。読み取り専用。
rid	Int	オブジェクトの相対識別子。読み取り専用。
sAMAccountName	String	ログイン名。
sAMAccountType	Int	この属性には、すべてのアカウントタイプのオブジェクトに関する情報が格納されます。システムによって設定されます。読み取り専用。
scriptPath	String	ユーザーのログオンスクリプトのパス。この文字列は null にできます。
seeAlso	String	関連するオブジェクトの DN。
serialNumber	String	ユーザーのシリアル番号。Active Directory では使用されません。
servicePrincipalName	String	オブジェクトに関連する識別名のリスト。
showInAddressBook	String	この属性は、オブジェクトが表示される MAPI アドレス帳を指定します。通常は、Exchange 受信者更新サービスによって保守されます。
showInAdvancedViewOnly	Boolean	この属性が UI の詳細モードに表示される場合は true になります。
sn	String	姓
st	String	州名または都道府県名
street	String	街路住所
Structural-Object-Class	String	クラス階層に含まれるクラスのリストを格納します (abstract クラスを含む)。読み取り専用。
telephoneNumber	String	第一電話番号。
Terminal Services Initial Program	String	ユーザーのログオン時に実行される初期プログラムのパス。
Terminal Services Initial Program Directory	String	初期プログラムの作業用ディレクトリのパス
Terminal Services Inherit Initial Program	Boolean	クライアントが初期プログラムを指定できるかどうかを示します。 true - クライアントはプログラムを指定できます。 false - Terminal Services Initial Program の値が使用され、プログラムの終了時にクライアントはログオフされます。
Terminal Services Allow Logon	Boolean	false - ユーザーはログオンできません。 true - ユーザーはログオンできます。
Terminal Services Active Session Timeout	Integer	時間 (ミリ秒)。値が 0 の場合は、接続タイマーが無効であることを示しています。
Terminal Services Disconnected Session Timeout	Integer	端末サーバーが切断されたセッションを保持する最大時間 (ミリ秒)。この時間を経過すると、ログオンは強制終了となります。値が 0 の場合は、切断タイマーが無効であることを示しています。
Terminal Services Idle Timeout	Integer	最大アイドル時間 (ミリ秒)。指定した間隔にキーボードやマウスの動きが何もなかった場合、ユーザーのセッションは、Terminal Services End Session On Timeout Or Broken Connection で指定されている値に基づいて、切断または終了します。値が 0 の場合は、アイドルタイマーが無効であることを示しています。
Terminal Services Connect Client Drives At Logon	Boolean	端末サーバーがログオン時にクライアントドライブのマッピングを自動的に再確立するかどうかを示します。 false - サーバーは以前にマップされたクライアントドライブに自動的に接続しません。 true - サーバーはログオン時に、以前にマップされたクライアントドライブに自動的に接続します。
Terminal Services Connect Client Printers At Logon	Boolean	端末サーバーがログオン時にクライアントプリンタのマッピングを自動的に再確立するかどうかを示します。 false - サーバーは以前にマップされたクライアントプリンタに自動的に接続しません。 true - サーバーはログオン時に、以前にマップされたクライアントプリンタに自動的に接続します。
Terminal Services Default To Main Client Printer	Boolean	クライアントプリンタがデフォルトのプリンタかどうかを示します。 false - クライアントプリンタはデフォルトのプリンタではありません。 true - クライアントプリンタはデフォルトのプリンタです。
Terminal Services End Session On Timeout Or Broken Connection	Boolean	接続タイマーかアイドルタイマーの期限が切れたとき、または接続エラーによって接続が失われたときのアクションを指定します。 false - セッションが切断されます。 true - セッションが終了します。
Terminal Services Allow Reconnect From Originating Client Only	Boolean	このユーザーの切断されたセッションを再接続できるようにする方法を示します。 false - ユーザーは、任意のクライアントコンピュータにログオンして、切断されたセッションに再接続することができます。 true - ユーザーは、切断されたセッションの確立時に使用したクライアントコンピュータにログオンすることで、その切断されたセッションに再接続できます。
Terminal Services Callback Settings	Integer	端末サーバーのハングアップしたダイアルアップ接続の設定を示し、接続を確立するためにクライアントをコールバックします。 0 - コールバック接続が無効です。 1 - サーバーがユーザーに電話番号の入力を求め、その電話番号でユーザーをコールバックします。 2 - サーバーは、Terminal Services Callback Phone Number 属性によって指定された電話番号で、自動的にユーザーをコールバックします。
Terminal Services Callback Phone Number	String	コールバック接続に使用する電話番号。
Terminal Services Remote Control Settings	Integer	ユーザーセッションを追跡できるかどうかを示します。追跡によって、ユーザーは別のユーザーの画面上の操作をリモートで監視できます。 0 - 無効 1 - 入力可能、通知あり 2 - 入力可能、通知なし 3 - 入力不可、通知あり 4 - 入力不可、通知なし
Terminal Services User Profile	String	端末サーバーにログオンするためのユーザーのプロファイルのパス。
Terminal Services Local Home Directory	String	端末サーバーにログオンするためのユーザーのホームディレクトリのパス。
Terminal Services Home Directory Drive	String	Terminal Services Local Home Directory 属性で指定された UNC パスのマップ先のドライブ名 (ドライブ文字とコロン)。
textEncodedORAddress	String	X.400 アドレスをテキスト形式でサポートします。
thumbnailPhoto	Binary	ユーザーの画像。
title	String	ユーザーの役職を格納します。このプロパティーは、一般に、プログラマーのような職種ではなく、「シニアプログラマー」のような正式な役職を示すために使用されます。通常、Esq. や DDS などの敬称には使用されません。
userAccountControl	Int	ユーザーのパスワード、ロックアウト、有効化/無効化、スクリプト、およびホームディレクトリの動作を制御するフラグを指定します。このプロパティーには、オブジェクトのアカウントタイプを示すフラグも格納されます。フラグは LMACCESS.H で定義されます。
userParameters	String	ユーザーのパラメータ。アプリケーションによる使用のために取り置かれるディレクトリの文字列を指します。この文字列は NULL 文字列にできます。または、終わりを表す NULL 文字の前に任意の数の文字を設定できます。
userPassword	暗号化されています	UTF-8 形式のユーザーのパスワード。これは書き込み専用属性です。
userPrincipalName	String	インターネット標準 RFC 822 に基づく、ユーザーのインターネット形式のログイン名。UPN は識別名よりも短く、覚えるのも簡単です。規約により、この名前は、ユーザーの電子メールの名前にマップするようにしてください。
userSharedFolder	String	ユーザーの共有ドキュメントフォルダへの UNC パスを指定します。このパスは \\server\share\directory という形式のネットワーク UNC パスにします。この値は NULL 文字列にすることもできます。
userSharedFolderOther	String	ユーザーの追加の共有ドキュメントフォルダへの UNC パスを指定します。このパスは \\server\share\directory という形式のネットワーク UNC パスにします。この値は NULL 文字列にすることもできます。
userWorkstations	String	コンマで区切られた、ユーザーがログインできるコンピュータの NetBIOS または DNS 名。
usnChanged	String	直前の変更 (作成を含む) に対してローカルディレクトリによって割り当てられた USN 値。読み取り専用。
usnCreated	String	オブジェクト作成時に割り当てられた USN 変更値。
USNIntersite	Int	サイト間のレプリケーションの USN。
uSNLastObjRem	String	サーバーから最後にオブジェクトが削除されたのがいつかを示します。読み取り専用。
uSNSource	String	ローカルサーバーに変更をレプリケートしたリモートディレクトリにあるオブジェクトの USN 変更属性の値。読み取り専用。
WS_PasswordExpired	Boolean	ユーザーのパスワードを期限切れにするかどうかを示します。
WS_USER_PASSWORD	暗号化されています	ユーザーのパスワードを格納します。詳細については、「使用上の注意」を参照してください。
wbemPath	String	他の ADSI 名前空間にあるオブジェクトへの参照。
whenChanged	String	このオブジェクトが最後に変更された日付。読み取り専用。
whenCreated	String	このオブジェクトが作成された日付。読み取り専用。
wWWHomePage	String	ユーザーの第一 Web ページ。
url	String	代替の Web ページのリスト。
x121Address	String	オブジェクトの X.121 アドレス。

Exchange Server 2007 でサポートされるアカウント属性

これらの属性は Exchange Server 2007 固有であり、RecipientType 属性が UserMailbox または MailUser 以外の場合は無視されます。

スキーマ名	属性タイプ	説明
AcceptMessagesOnlyFrom	String	このユーザーへのメール送信を許可されたユーザーのリスト。
AcceptMessagesOnlyFromDLMembers	String	このユーザーへのメール送信を許可されたメンバーを含む配布グループのリスト。
Alias	String	ユーザーのエイリアス。
AntispamBypassEnabled	Boolean	このメールボックスでスパム対策処理をスキップするかどうかを指定します。(RecipientType UserMailbox のみ)
CustomAttribute1 through CustomAttribute15	String	追加情報を格納する属性。
DeliverToMailboxAndForward	Boolean	このメールボックスに送信されたメッセージを別のアドレスに転送するかどうかを指定します。(RecipientType UserMailbox のみ)
DisplayName	String	Microsoft Outlook で表示される名前。
DowngradeHighPriorityMessagesEnabled	Boolean	メールボックスが優先度の高いメッセージを送信できないようにします。(RecipientType UserMailbox のみ)
EmailAddress	String	SMTP メールアドレスであり、PrimarySMTPAddress とは併用できません。
EmailAddresses	String	電子メールアドレスのリスト。PrimarySmtpAddress または「True」に設定された EmailAddressPolicyEnabled とは併用できません。
EmailAddressPolicyEnabled	Boolean	デフォルトとして「True」に設定すると、プライマリ電子メールアドレスがユーザー用に生成され、次の属性の使用が禁止されます。 - PrimarySmtpAddress - WindowsEmailAddress
EndDateForRetentionHold	Nullable	メッセージレコード管理 (MRM) の保持期間の最終日 (RecipientType UserMailbox のみ)。
ExternalOofOptions	String	Out of Office メッセージを外部送信者に送信します。値は「InternalOnly」または「External」に限定されます (RecipientType UserMailbox のみ)。
ForwardingAddress	String	DeliverToMailboxAndForward が「True」に設定されている場合、メールの転送先アドレス (RecipientType UserMailbox のみ)。
GrantSendOnBehalfTo	String	このユーザーの代わりにメッセージを送信できるその他の受信者の識別名 (DN)。
HiddenFromAddressListsEnabled	Boolean	アドレスリストから電子メールアドレスを非表示にします。
IssueWarningQuota	Unlimited ByteQuantifiedSize	割り当て警告の発行先のメールボックスのサイズ。(RecipientType UserMailbox のみ)
Languages	String	表示用の言語の一覧。(RecipientType UserMailbox のみ)
MaxBlockedSenders	Nullable	ブロックされた送信者リストに追加できる送信者の最大数。
MaxReceiveSize	Unlimited ByteQantifiedSize	このユーザーが受信できるメッセージの最大サイズ。
MaxSafeSenders	Nullable	安全な送信者リストに追加できる送信者の最大数。(RecipientType UserMailbox のみ)
MaxSendSize	Unlimited ByteQantifiedSize	このユーザーが送信できるメッセージの最大サイズ。
OfflineAddressBook	String	関連付けられたアドレス帳。(RecipientType UserMailbox のみ)
PrimarySmtpAddress	String	外部ユーザーがこのユーザーからメッセージを受信したときに、外部ユーザーに表示されるアドレス。EmailAddresses とは併用されません。 EmailAddresses リストには PrimarySmtpAddress が含まれています。「True」に設定された EmailAddressPolicyEnabled とは併用できません。
ProhibitSendQuota	Unlimited ByteQantifiedSize	このメールボックスに関連付けられたユーザーがメッセージを送信できなくなる時点のメールボックスサイズ。(RecipientType UserMailbox のみ)
ProhibitSendReceiveQuota	Unlimited ByteQantifiedSize	このメールボックスに関連付けられたユーザーがメッセージを送信または受信できなくなる時点のメールボックスサイズ。(RecipientType UserMailbox のみ)
RecipientLimits	Unlimited	このメールボックスで送信できるメッセージ当たりの送信者の最大数。
RejectMessagesFrom	String	メッセージが拒否される受信者。
RejectMessagesFromDLMembers	String	これらの配布リストの任意のメンバーからのメッセージが拒否されます。
RequireSenderAuthenticationEnabled	Boolean	送信者は認証される必要があります。
RetainDeletedItemsFor	String	削除されたアイテムを保持する期間を指定する「dd.hh:mm:ss」の文字列形式で表現されるタイムスパン。(RecipientType UserMailbox のみ)
RetainDeletedItemsUntilBackup	Boolean	削除された項目を次回のバックアップまで保持します。(RecipientType UserMailbox のみ)
RetentionHoldEnabled	Boolean	保持をオンまたはオフに切り替えます (RecipientType UserMailbox のみ)。
RulesQuota	ByteQuantifiedSize	このメールボックスに対する規則のサイズ制限。最大値は 256K バイトです (RecipientType UserMailbox のみ)。
SCLDeleteEnabled	Nullable Boolean	SCL 削除のしきい値を満たしたメッセージを削除します (RecipientType UserMailbox のみ)。
SCLDeleteThreshold	Nullable	メールが削除される時点の Spam Confidence Level。指定できる値は 0 ～ 9 です。(RecipientType UserMailbox のみ)
SCLJunkEnabled	Nullable Boolean	SCL ジャンクのしきい値を満たしたメッセージをジャンクとします (RecipientType UserMailbox のみ)。
SCLJunkThreshold	Nullable	メールがジャンクとしてマークされる時点の Spam Confidence Level。許可される値は 0-9 です (RecipientType UserMailbox のみ)。
SCLQuarantineEnabled	Nullable Boolean	SCL 隔離のしきい値を満たしたメッセージを隔離します (RecipientType UserMailbox のみ)。
SCLQuarantineThreshold	Nullable	メールが隔離される時点の Spam Confidence Level。許可される値は 0-9 です (RecipientType UserMailbox のみ)。
SCLRejectEnabled	Nullable Boolean	SCL 拒否のしきい値を満たしたメッセージを拒否します (RecipientType UserMailbox のみ)。
SCLRejectThreshold	Nullable	メールが拒否される時点の Spam Confidence Level。許可される値は 0-9 です (RecipientType UserMailbox のみ)。
SimpleDisplayName	String	DisplayName の ASCII のみのバージョン。
StartDateForRetentionHold	Nullable	MRM の保持期間の開始日。(RecipientType UserMailbox のみ)
UseDatabaseQuotaDefaults	Boolean	このメールボックスが存在するメールボックスデータベースに指定された割り当て属性を、このメールボックスで使用するように指定します。(RecipientType UserMailbox のみ)
UseDatabaseRetentionDefaults	Boolean	このメールボックスが存在するメールボックスデータベースに指定された MailboxRetention 属性を、このメールボックスで使用するように指定します。(RecipientType UserMailbox のみ)
UserPrincipalName	String	これはユーザーのログオン名です。UPN はユーザー名とサフィックスで構成されます。

ACL リストの管理

nTSecurityDescriptor および msExchMailboxSecurityDescriptor 属性値には、特別な方法で指定する ACL リストが含まれています。

次に、企業がプロビジョニングする各ユーザーに対してデフォルトのアクセス権のセットを割り当てる場合に使用する可能性があるユーザーフォームの例を示します。

<Field name=’attributes[AD].nTSecurityDescriptor’ hidden=’true’>
  <Expansion>
      <list>
        <s>Domain Admins|983551|0|0|NULL|NULL</s>
        <s>NT AUTHORITY\SYSTEM|983551|0|0|NULL|NULL</s>
         <s>Account Operators|983551|0|0|NULL|NULL</s>
         <s>NT AUTHORITY\Authenticated Users|131220|0|0|NULL|NULL</s>
        <s>NT AUTHORITY\Authenticated Users|256|5|0|
{AB721A55-1E2F-11D0-9819-00AA0040529B}|NULL</s>
         <s>NT AUTHORITY\SELF|131220|0|0|NULL|NULL</s>
      </list>
   </Expansion>
</Field>

nTSecurityDescriptor リスト内のエントリは、次の形式になります。

Trustee|Mask|aceType|aceFlags|objectType|InheritedObjectType

各表記の意味は次のとおりです。

Trustee は、ユーザーの DOMAIN\Account です。
Mask は、アクセス権 (読み取り、書き込みなど) を指定するフラグです。
aceType は、アクセス制御エントリ (ACE) のタイプを示すフラグです。
```
ADS_ACETYPE_ACCESS_ALLOWED = 0,
 ADS_ACETYPE_ACCESS_DENIED = 0x1, 
ADS_ACETYPE_SYSTEM_AUDIT = 0x2,
 ADS_ACETYPE_ACCESS_ALLOWED_OBJECT = 0x5,
 ADS_ACETYPE_ACCESS_DENIED_OBJECT = 0x6,
 ADS_ACETYPE_SYSTEM_AUDIT_OBJECT = 0x7,
 ADS_ACETYPE_SYSTEM_ALARM_OBJECT = 0x8 ADS_ACETYPE_ACCESS_ALLOWED
```
各表記の意味は次のとおりです。
- ADS_ACETYPE_ACCESS_ALLOWED: ACE は標準の ACCESS ALLOWED タイプになります。ここで、ObjectType および InheritedObjectType フィールドは NULL です。
- ADS_ACETYPE_ACCESS_DENIED: ACE は標準のシステム監査タイプになります。ここで、ObjectType および InheritedObjectType フィールドはNULL です。
- ADS_ACETYPE_SYSTEM_AUDIT: ACE は標準システムタイプになります。ここで、ObjectType および InheritedObjectType フィールドは NULL です。
- ADS_ACETYPE_ACCESS_ALLOWED_OBJECT: Windows 2000 で、ACE は、オブジェクトまたはオブジェクトのサブオブジェクト (プロパティーやプロパティーのセットなど) へのアクセスを許可します。
  
  ObjectType、InheritedObjectType、またはこれら両方に、プロパティーセット、プロパティー、拡張された権限、または子オブジェクトのタイプを特定する GUID が格納されます。
- ADS_ACETYPE_ACCESS_DENIED_OBJECT: Windows 2000 で、ACE オブジェクトまたはオブジェクトのサブオブジェクト (プロパティーやプロパティーのセットなど) へのアクセスを拒否します。
  
  ObjectType、InheritedObjectType、またはこれら両方に、プロパティーセット、プロパティー、拡張された権限、または子オブジェクトのタイプを特定する GUID が格納されます。
- ADS_ACETYPE_SYSTEM_AUDIT_OBJECT: Windows 2000 で、ACE オブジェクトまたはオブジェクトのサブオブジェクト (プロパティーやプロパティーのセットなど) へのアクセスを監査します。
  
  ObjectType、InheritedObjectType、またはこれら両方に、プロパティーセット、プロパティー、拡張された権限、または子オブジェクトのタイプを特定する GUID が格納されます。
- ADS_ACETYPE_SYSTEM_ALARM_OBJECT: 現時点で Windows 2000/XP では使用されません。
aceFlags は、ほかのコンテナやオブジェクトが ACL 所有者から ACE を継承できるかどうかを指定するフラグです。
```
ADS_ACEFLAG_INHERIT_ACE = 0x2,
 ADS_ACEFLAG_NO_PROPAGATE_INHERIT_ACE = 0x4,
 ADS_ACEFLAG_INHERIT_ONLY_ACE = 0x8,
 ADS_ACEFLAG_INHERITED_ACE = 0x10,
 ADS_ACEFLAG_VALID_INHERIT_FLAGS = 0x1f,
 ADS_ACEFLAG_SUCCESSFUL_ACCESS = 0x40,
```
各表記の意味は次のとおりです。
- ADS_ACEFLAG_FAILED_ACCESS = 0x80 ADS_ACEFLAG_INHERIT_ACE: このアクセス制御エントリ (ACE) を継承する子オブジェクトを示します。
  
  継承される ACE は、ADS_ACEFLAG_NO_PROPAGATE_INHERIT_ACE フラグを設定しない限り継承可能です。
- ADS_ACEFLAG_NO_PROPAGATE_INHERIT_ACE: 子オブジェクトの継承した ACE の ADS_ACEFLAG_INHERIT_ACE フラグが、システムによってクリアされます。これによって、ACE は、以降の世代のオブジェクトには継承されません。
- ADS_ACEFLAG_INHERIT_ONLY_ACE: 接続先のオブジェクト上でアクセス制御を実行しない継承専用の ACE を示します。
  
  このフラグを設定しない場合、ACE は、接続先のオブジェクト上でアクセス制御を実行する有効な ACE になります。
- ADS_ACEFLAG_INHERITED_ACE: ACE が継承されたかどうかを示します。このビットはシステムによって設定されます。
- ADS_ACEFLAG_VALID_INHERIT_FLAGS: 継承されたフラグが有効かどうかを示します。このビットはシステムによって設定されます。
- ADS_ACEFLAG_SUCCESSFUL_ACCESS: アクセスに成功した場合に、監査メッセージを生成し、システムアクセス制御リスト (SACL) でシステムを監査する ACE によって使用されます。
- ADS_ACEFLAG_FAILED_ACCESS: アクセスに失敗した場合に、監査メッセージを生成し、SACL でシステムを監査する ACE によって使用されます。
objectType は、ADSI オブジェクトタイプを示すフラグです。objectType の値は、文字列形式のプロパティーまたはオブジェクトの GUID です。
- この GUID は、ADS_RIGHT_DS_READ_PROP および ADS_RIGHT_DS_WRITE_PROP アクセスマスクの使用時に、プロパティーを参照します。
- この GUID は、ADS_RIGHT_DS_CREATE_CHILD および ADS_RIGHT_DS_DELETE_CHILD アクセスマスクの使用時に、オブジェクトを指定します。
InheritedObjectType は、ADSI オブジェクトの子オブジェクトのタイプを示すフラグです。InheritedObjectType の値は、オブジェクトに対する文字列形式の GUID です。このような GUID を設定する場合、ACE は、その GUID によって参照されるオブジェクトのみに適用されます。

objectType および InheritedObjectType フラグでは、ほかのオブジェクトの GUID を次の形式で指定します。

{BF9679C0-0DE6-11D0-A285-00AA003049E2}

オブジェクト/属性の GUID は、角括弧 { } で囲まれます。この形式は、取得したときに返されます。ADSI 内には、アクセスを許可する特定の属性や、継承関係の記述方法を表す GUID が存在しています。

渡していく正しい文字列を見つけるには、次の方法を実行します。

渡していく正しい文字列を見つける

スキーマに属性を追加し、次のフィールドをユーザーフォームに追加します。

<Field name=’accounts[AD].nTSecurityDescriptor’>
  <Display class=’TextArea’>
    <Property name=’title’ value=’NT User Security Descriptor’/>
    <Property name=’rows’ value=’20’/>
    <Property name=’columns’ value=’100’/>
  </Display>
</Field>

または

<Field name=’accounts[AD].msExchMailboxSecurityDescriptor’>
  <Display class=’TextArea’>
    <Property name=’title’ value=’Mailbox Security Descriptor’/>
    <Property name=’rows’ value=’20’/>
    <Property name=’columns’ value=’100’/>
  </Display>
</Field>

Active Directory でユーザーのオブジェクトを編集して、すべてのユーザーに対応する ACL リストを設定し、ベースラインを確立します。

Edit User Form を使って、Identity Manager で、ユーザーを編集します。

テキスト領域に、Active Directory のユーザーオブジェクトから取得された対応する値が入力されていることを確認します。

上記の方法は、必要な設定のために、フォームに追加する値を決定する場合に役立ちます。

サポートされない属性

次の表に、Identity Manager でサポートされないアカウント属性を示します。

スキーマ名	注意点
allowedAttributes	オペレーショナル属性
allowedAttributesEffective	オペレーショナル属性
allowedChildClasses	オペレーショナル属性
alowedChildClassesEffective	オペレーショナル属性
bridgeheadServerListBL	システムが使用します
canonicalName	オペレーショナル属性
controlAccessRights	String (Octet)
createTimeStamp	String (UTC-Time)
dBCSPwd	String (Octet)
directReports	システムが使用します。このユーザーによって管理されるユーザーのマネージャー属性を使用して設定します。
dSASignature	Object(Replica-Link)
dSCorePropagationData	String (UTC-Time)
fromEntry	オペレーショナル属性
frsComputerReferenceBL	システムが使用します
fRSMemberReferenceBL	システムが使用します
fSMORoleOwner	システムが使用します
groupMembershipSAM	String (Octet)
instanceType	システムが使用します
isCriticalSystemObject	システムが使用します
isDeleted	システムが使用します
isPrivilegeHolder	システムが使用します
lastKnownParent	システムが使用します
lmPwdHistory	String (Octet)
logonHours	String (Octet)
logonWorkstations	String (Octet)
masteredBy	システムが使用します。
memberOf	システムが使用します。groups 属性を使用します。
modifyTimeStamp	String (UTC-Time)
MS-DRM-Identity-Certificate	String (Octet)
ms-DS-Cached-Membership	String (Octet)
mS-DS-ConsistencyGuid	String (Octet)
mS-DS-CreatorSID	String (Sid)
ms-DS-Site-Affinity	String (Octet)
mSMQDigests	String (Octet)
mSMQDigestsMig	String (Octet)
mSMQSignCertificates	String (Octet)
mSMQSignCertificatesMig	String (Octet)
msNPAllowDialin	RAS MPR API を使用して、値の読み取りと更新を行います。
msNPCallingStation	RAS MPR API を使用して、値の読み取りと更新を行います。
msNPSavedCallingStationID	RAS MPR API を使用して、値の読み取りと更新を行います。
msRADIUSCallbackNumber	RAS MPR API を使用して、値の読み取りと更新を行います。
msRADIUSFramedIPAddress	RAS MPR API を使用して、値の読み取りと更新を行います。
msRADIUSFramedRoute	RAS MPR API を使用して、値の読み取りと更新を行います。
msRADIUSServiceType	RAS MPR API を使用して、値の読み取りと更新を行います。
msRASSavedCallbackNumber	RAS MPR API を使用して、値の読み取りと更新を行います。
msRASSavedFramedIPAddress	RAS MPR API を使用して、値の読み取りと更新を行います。
msRASSavedFramedRoute	RAS MPR API を使用して、値の読み取りと更新を行います。
netbootSCPBL	システムが使用します
nonSecurityMemberBL	システムが使用します
ntPwdHistory	システムが使用します
objectGUID	String (Octet)。この GUID は、アカウントの Identity Manager ユーザーオブジェクトの ResourceInfo に格納されます。
objectSid	String (Sid)
otherWellKnownObjects	Object (DN-Binary)
partialAttributeDeletionList	システムが使用します
partialAttributeSet	システムが使用します
possibleInferiors	システムが使用します
proxiedObjectName	Object (DN-Binary)
queryPolicyBL	システムが使用します
registeredAddress	String (Octet)
replPropertyMetaData	システムが使用します
replUpToDateVector	システムが使用します
repsFrom	システムが使用します
repsTo	システムが使用します
sDRightsEffective	オペレーショナル属性
securityIdentifier	String (Sid)
serverReferenceBL	システムが使用します
sIDHistory	String (Sid)
siteObjectBL	システムが使用します
subRefs	システムが使用します
subSchemaSubEntry	システムが使用します
supplementalCredentials	システムが使用します
systemFlags	システムが使用します
telexNumber	String (Octet)
teletexTerminalIdentifier	String (Octet)
terminalServer	String (Octet)
thumbnailLogo	String (Octet)
tokenGroups	String (Sid) / オペレーショナル属性
tokenGroupsGlobalAndUniversal	String (Sid)
tokenGroupsNoGCAcceptable	String (Sid) / オペレーショナル属性
unicodePwd	String (Octet)。userPassword を使用して、ユーザーのパスワードを設定します。
userCert	String (Octet)
userCertificate	String (Octet)
userSMIMECertificate	String (Octet)
wellKnownObjects	Object (DN-String)
x500uniqueIdentifier	String (Octet)

リソースオブジェクトの管理

Identity Manager は、次の Active Directory オブジェクトをサポートします。

リソースオブェクト	サポートされる機能	管理される属性
Group	作成、更新、削除	cn、samAccountName、description、managedby、member、mail、groupType、authOrig、name
DNS Domain	Find	dc
Organizational Unit	作成、削除、検索	ou
Container	作成、削除、検索	cn、description

リソースオブジェクト上で管理できる属性は、一般に、属性構文によって指示することもできます。これらのオブジェクトタイプの属性は、ユーザーアカウントの属性と類似しているので、同じようにサポートされています。

アイデンティティーテンプレート

Windows Active Directory は、階層ベースのリソースです。アイデンティティーテンプレートによって、ユーザーが作成するディレクトリツリー内のデフォルトの場所が指定されます。デフォルトのアイデンティティーテンプレートは次のとおりです。

CN=$fullname$,CN=Users,DC=mydomain,DC=com

デフォルトのテンプレートを有効な値に置き換えてください。

サンプルフォーム

ここでは、Active Directory リソースアダプタに用意されているサンプルフォームの一覧を示します。

組み込みのフォーム

ActiveDirectory ActiveSync Form
Windows Active Directory コンテナ作成フォーム
Windows Active Directory グループ作成フォーム
Windows Active Directory 組織単位作成フォーム
Windows Active Directory Create Person Form
Windows Active Directory ユーザー作成フォーム
Windows Active Directory コンテナ更新フォーム
Windows Active Directory グループ更新フォーム
Windows Active Directory 組織単位更新フォーム
Windows Active Directory Update Person Form
Windows Active Directory ユーザー更新フォーム

その他の利用可能なフォーム

ADUserForm.xml

トラブルシューティング

Identity Manager のデバッグページを使用して、次のクラスでトレースオプションを設定します。

com.waveset.adapter.ADSIResourceAdapter

また、Identity Manager のデバッグページを使用して、ゲートウェイサービス上でトレースを有効にすることもできます (InstallDir/idm/debug/Gateway.jsp)。このページでは、トレースのレベル、トレースファイルの場所、およびトレースファイルの最大サイズを指定できます。また、ゲートウェイのトレースファイルをリモートで取得して、ゲートウェイのバージョン情報を表示することもできます。

さまざまなコマンド行スイッチによって、デバッグトレースをしているコンソールから、ゲートウェイサービスを起動することもできます。-h を使用して、ゲートウェイサービスの使用方法を確認してください。

接続の問題を診断するために、次のメソッドでトレースを有効にすることもできます。

com.waveset.adapter.AgentResourceAdapter#sendRequest
com.waveset.adapter.AgentResourceAdapter#getResponse